授权请求标头与凭据的 POST 请求正文答案

【问题标题】：Authorization request header Vs POST request body for credentials授权请求标头与凭据的 POST 请求正文
【发布时间】：2019-04-30 03:41:52
【问题描述】：

从前端向后端服务器发送用户凭据的正确方法是什么？我看到一些开发人员使用授权标头和一些在 POST 正文中传递凭据的示例。

【问题讨论】：

【解决方案1】：

网站向服务器传输密码的唯一安全方法是使用 HTTPS/SSL。如果连接本身没有加密，ManInTheMiddle 可以修改或删除任何发送给客户端的 JavaScript。所以你不能依赖客户端散列。

此外，始终使用标头发送敏感数据，例如 USER-ID、API-KEY、AUTH-TOKENS 您也可以参考此堆栈问题link 以获取更多信息和此link

【讨论】：

【解决方案2】：

在尝试登录时，凭据通常会转到请求正文一次。您应该收到一个令牌作为回报，尽管您是通过 HTTP 标头、请求正文还是作为 GET 参数发送此令牌取决于您（或您正在实施的协议）。

使用标头通常是一种好习惯，因为 GET 请求不应包含请求正文，并且将令牌作为 GET 参数传递可能并不总是一种选择（例如，由于令牌出现在各种日志中）。

无论哪种方式，我都建议您避免尝试实现自己的协议并改用现有标准。

【讨论】：